CESA-2020-3-010《信息安全技术 人脸比对模型安全技术规范》 征求意见稿

ICS

团体标准

T/CESAXXXX—2020

信息安全技术人脸比对模型安全技术规范

Informationsecuritytechnology-Safetytechnicalspecificationoffaceverification

model

征求意见稿

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

已授权的专利证明材料为专利证书复印件或扉页，已公开但尚未授权的专利申

请证明材料为专利公开通知书复印件或扉页，未公开的专利申请的证明材料为专利

申请号和申请日期。

2020-XX-XX发布2020-XX-XX实施

中国电子工业标准化技术协会发布

1

T/CESAXXXX-2020

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件由国家工业信息安全发展研究中心提出。

本文件由中国电子工业标准化技术协会归口。

本文件起草单位：国家工业信息安全发展研究中心、北京瑞莱智慧科技有限公司、北京航空航天大

学、之江实验室、温州大学、触景无限科技（北京）有限公司。

本文件主要起草人：种国双、朱倩倩、杨天、李美桃、朱顺辉、李向前、刘巍、田天、唐家渝、萧

子豪、张旭东、胡嵩智、董胤蓬、郑征、李振廷、潘洋、陈慧灵、蔡振闹、胡众义、常清璞、侯朝阳。

3

T/CESAXXXX-2020

信息安全技术人脸比对模型安全技术规范

1范围

本文件规定了人脸比对模型及所在系统的功能要求、安全要求与相应的测试方法，并将系统划分为

基本级和增强级。

本文件适用于交通、酒店、学校、工厂等应用场景的人脸比对模型及所在系统的设计、开发与测试，

其他需要人脸比对技术的应用场景可参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB17859-1999计算机信息系统安全保护划分准则

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T26238-2010信息技术生物特征识别术语

GB/T29268.1-2012信息技术生物特征识别性能测试和报告原则与框架

（ISO/IEC19795-1:2006,IDT）

GB/T38671-2020信息安全技术远程人脸识别系统技术要求

T/CESA1026-2018人工智能深度学习算法评估规范

3术语和定义

GB/T26238-2010、T/CESA1026-2018界定的及下列术语和定义适用于本标准。

3.1

人脸比对faceverification

对两张人脸图像进行识别比对，评估属于同一个人的可能性大小。

3.2

对抗样本adversarialexamples

在数据集中通过故意添加细微的干扰所形成输入样本，添加对抗噪声之后的输入样本导致模型给出

错误的输出。

3.3

白盒攻击white-boxattack

4

T/CESAXXXX-2020

指在目标模型结构及参数等信息已知的情况下，生成对抗样本进行攻击。

3.4

黑盒攻击black-boxattack

指在目标模型结构及参数等信息未知的情况下，生成对抗样本进行攻击。

3.5

扰动大小perturbationbudget

指构造对抗样本时添加的干扰大小。

注：扰动大小根据干扰类型的不同，计算方式分别为：

a)物理世界：根据实体干扰的面积大小进行计算；

b)数字世界：根据生成的对抗样本与真实样本之间的距离进行计算。在L+∞距离下的计算方法见式（1），在L2

距离下的计算方法见式（2）。

................................................(1)

ഄ㈳

駐ഄ鰐ҥഄᵇ鰐왐ᶣ瞸ᵇҥഄ鰐駐鰐max .............................................(2)

式中：ഄ㈳

駐ഄ鰐ҥഄᵇ鰐왐ᶣ瞸ᵇҥഄ鰐駐鰐ഄ......

真实样本，图像中每像素的取值范围为到之间的整数；

对抗样本，图像中每像素的取值范围为到之间的整数；

——055

ഄ㈳和的维度；

——055

对向量ഄ㈳逐项求绝对值；

ഄ——

对向量求范数。

——

3.6——L

准确率accuracy

对于给定的数据集，正确分类的样本数占总样本数的比率。

3.7

查全率recall

对于给定的数据集，预测为对抗样本的样本占所有实际为对抗样本的比率。

3.8

防御成功率defensesuccessrate

对抗样本的识别准确率与真实样本的识别准确率之比。

注：防御成功率见式（3）。

防御成功率对抗样本真实样本...........................................(3)

式中：

ACCACC

对抗样本输入对抗样本时模型的识别准确率；

真实样本输入真实样本时模型的识别准确率。

ACC——

ACC——

5

T/CESAXXXX-2020

4系统概述

参照GB/T38671-2020，具备防御对抗样本攻击能力的人脸比对系统应包含以下两层：

a)模型训练层：主要由用于对抗训练的对抗样本生成算法、预训练模型或比对模型自身等模块组

成；对抗样本生成算法针对预训练模型或人脸比对模型自身生成对抗样本后，将生成的对抗样

本加入训练集进行对抗训练即可提升人脸比对模型的鲁棒性。

b)应用层：由对抗样本检测、对抗样本去噪、人脸比对服务等模块组成；对抗样本检测模块将对

输入数据进行分析处理，判断数据是否为对抗样本；对抗样本去噪则负责对输入数据进行去噪

处理，破坏攻击者恶意添加的对抗噪声。

本标准不规定具备防御对抗样本攻击能力的人脸比对系统具体实现方式。

系统结构图见图1：

图1人脸比对系统结构图

5功能要求

5.1对抗样本检测

应支持依据真实样本和对抗样本的差异性，判断输入数据中是否包含对抗样本。系统应拒绝已检出

的对抗样本进入人脸比对流程。检测方法包括但不限于：

a)应支持对输入数据的直接分析进行对抗样本检测：通过分析真实样本和对抗样本在非任务模型

（如专门训练的对抗样本分类模型上）的不同表现，判断输入数据是否为对抗样本；

b)应支持对人脸比对模型特征层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸

比对模型特征层上统计值的分布差异，判断输入数据是否为对抗样本；

6

T/CESAXXXX-2020

c)应支持对人脸比对模型输出层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸

比对模型输出层上的分布特性差异，判断输入数据是否为对抗样本。

5.2对抗样本去噪

应支持对输入数据进行去噪处理，破坏恶意用户添加在真实样本上的对抗噪声。去噪处理方法包括

但不限于：

a)应支持通过图片压缩的方法对输入数据做去噪处理：高频信号可激发神经网络某些特定的神经

元，使得神经网络给出错误的输出结果，图片压缩可改变高频信号的分布，从而破坏对抗噪声；

b)应支持通过使图片总方差最小化的方法对输入数据做去噪处理：在保证图片语义信息损失较小

的约束条件下，使得图片总方差最小化，改变噪声的分布，从而破坏对抗噪声；

c)应支持通过数据驱动的方式训练对抗样本去噪器对输入数据做去噪处理：神经网络训练的对抗

样本去噪器通过最小化对抗样本与真实样本的距离（如像素级别的L1距离，特征层的L2距离

等）使得处理后的对抗样本接近于真实样本的像素分布，从而破坏对抗噪声。

5.3对抗训练

应支持通过对抗训练提升人脸比对模型的鲁棒性，提高模型防范对抗样本攻击的能力。对抗训练包

括但不局限于：

a)单模型对抗训练：应支持在模型训练过程中，利用人脸比对模型自身构建对抗样本，将真实样

本和对抗样本作为训练数据，通过损失函数等约束进行监督学习训练，提高人脸比对模型的鲁

棒性；

b)多模型集成对抗训练：应支持通过预先训练多个类似的人脸比对模型生成的对抗样本和真实样

本同时作为训练数据，通过损失函数等约束进行监督学习训练，提高人脸比对模型的鲁棒性。

6安全要求

参照GB/T20271-2006，确定了以下安全要求。

6.1安全审计

6.1.1审计日志生成

系统应生成以下事件的审计日志：

a)审计功能的启动与终止；

b)管理员身份鉴别成功和失败的事件；

c)系统管理员、安全管理员、审计管理员和一般操作员所实施的操作；

d)检测到输入数据含有对抗样本；

e)非授权保存人脸图像；

f)非授权进行数据库操作。

系统应在每条审计日志中记录事件发生的日期和时间、事件类型、事件描述和结果。审计功能

部件应能将可审计事件与发起该事件的用户身份相关联。

6.1.2审计日志查阅

系统应为授权管理员提供审计日志查阅功能，方便管理员查看审计结果。除了具有明确访问权限的

7

T/CESAXXXX-2020

授权管理员之外，产品应禁止所有其他用户对审计日志的访问。

6.1.3审计日志保护

系统应具备审计日志保护功能，具体要求如下：

a)应能保护已存储的审计日志，并能检测和防止对审计日志的修改；

b)审计日志应存储于断电非易失性存储介质中，且在存储空间达到阈值时通知授权管理员。

6.2异常处理机制

系统应在非正常条件（如掉电、强行关机）下关机再重新启动后，满足以下技术要求：

a)安全策略恢复到关机前的状态；

b)审计日志不会丢失；

c)管理员重新鉴别。

7测试方法

7.1功能测试

参照GB/T29268.1-2012，确定了以下测评方法。

7.1.1对抗样本检测

对抗样本检测的测试方法与预期结果如下：

a)测试方法：

尝试输入事先准备好的对抗样本和正常样本，检查查全率、准确率是否不小于预期。

b)预期结果：

对于数字世界的对抗样本，使用不同的距离度量约束对抗样本生成，测试得出的查全率、准确

率应分别不小于预期（见表1）；对于物理世界的对抗样本，使用面积大小约束对抗样本生成。

测试得出的查全率、准确率应分别不小于预期（见表2）。

表1数字世界对抗样本预期表现

类型扰动大小(L2/L+∞)查全率准确率

8/1690%95%

4/885%90%

黑盒攻击方式生成的对抗样本

2/480%85%

1/275%80%

8/1680%90%

4/875%85%

白盒攻击方式生成的对抗样本

2/470%80%

1/265%75%

8

T/CESAXXXX-2020

表2物理世界对抗样本预期表现

类型扰动大小(cm2)查全率准确率

2485%90%

1280%85%

物理世界对抗样本

675%80%

370%75%

7.1.2对抗样本去噪

对抗样本去噪的测试方法与预期结果如下：

a)测试方法：

尝试输入事先准备好的数字世界、物理世界对抗样本，检查防御成功率是否不小于预期的值。

b)预期结果：

对于数字世界的对抗样本，使用不同的距离度量约束对抗样本生成，测试得出的防御成功率应

不小于预期（见表3）；对于物理世界的对抗样本，使用面积大小约束对抗样本生成。测试得

出的防御成功率应不小于预期（见表4）。

表3数字世界对抗样本预期表现

类型扰动大小(L2/L+∞)防御成功率

8/1650%

黑盒攻击方式生成的对抗4/860%

样本2/480%

1/290%

8/1640%

白盒攻击方式生成的对抗4/850%

样本2/470%

1/280%

表4物理世界对抗样本预期表现

类型扰动大小(L2/L+∞)防御成功率

2430%

1240%

物理世界对抗样本

660%

375%

7.1.3对抗训练

对抗样本去噪的测试方法与预期结果如下：

a)测试方法：

尝试输入事先准备好的数字世界、物理世界对抗样本，检查防御成功率是否不小于预期的值。

b)预期结果：

对于数字世界的对抗样本，预期使用不同的距离度量约束对抗样本生成，测试得出的防御成功

9

T/CESAXXXX-2020

率应不小于预期（见表5）。对于物理世界的对抗样本，使用面积大小约束对抗样本生成，测

试得出的防御成功率应不小于预期（见表6）。

表5数字世界对抗样本预期表现

类型扰动大小(L2/L+∞)防御成功率

8/1660%

黑盒攻击方式生成的对抗4/870%

样本2/485%

1/295%

8/1650%

白盒攻击方式生成的对抗4/860%

样本2/480%

1/290%

表6物理世界对抗样本预期表现

类型扰动大小(L2/L+∞)防御成功率

2450%

1260%

物理世界对抗样本

680%

390%

7.2安全测试

7.2.1审计日志

7.2.1.1审计日志生成

审计日志生成的测试方法与预期结果如下：

a)测试方法：结合开发者和文档，尝试向系统输入对抗样本触发相关时间，并对产品不同模块进

行访问、运行、关闭以及重复失败尝试等相关操作，检查产品提供了对哪些事件的审计，并审

查审计日志的正确性；

b)预期结果：

1)产品至少为以下可审计事件产生审计记录：

——审计功能的启动和终止；

——检测到对抗样本攻击。

2)每个审计事件产生的审计记录应该记录以下信息：

——事件发生的日期和时间，日期包括年、月、日，时间包括时、分、秒；

——事件的详细描述；

——时间的结果；

——根据事件类型所需的其他信息。

7.2.1.2审计日志查阅

审计日志查阅的测试方法和预期结果如下：

10

T/CESAXXXX-2020

a)测试方法：

1)尝试以授权管理员身份与非授权管理员身份访问审计日志，查看产品安全功能是否允许授

权管理员访问审计日志；

2)审计日志的内容是否容易理解；

3)检查产品是否能提供查阅审计日志的工具，是否能够对审计事件以时间、日期、主体ID

等为条件搜索，是否允许授权管理员使用查阅工具。

b)预期结果：

1)产品限制审计日志的访问，除了具有明确的读访问权限的授权管理员外，产品禁止其他用

户对审计日志的读取；

2)审计日志的内容容易理解；

3)产品提供查阅审计日志的工具，并能够对审计事件以时间、日期、主体ID等为条件搜索。

7.2.1.3审计日志保护

审计日志保护的测试方法和预期结果如下：

a)测试方法：

1)尝试以授权管理员身份与非授权管理员身份修改审计日志，查看是否能够修改成功；

2)查看审计日志是否存储于掉电非易损失性存储介质中，通过实施登录、退出、修改配置等

一系列事件，产生大量审计日志，直到达到阈值，查看系统是否能够通知授权管理员。

b)预期结果：

1)产品能够保存已存储的审计日志，检测和防止对审计日志的修改；

2)审计日志存储于掉电非易损失性存储介质中，且在存储空间达到阈值时通知授权管理员。

7.2.2异常处理机制

异常处理机制的测试方法和预期结果如下：

a)测试方法：

1)记录系统的当前状态、如安全策略等，保存配置；

2)直接断开系统电源，再接通电源开机启动；

3)再次尝试通过界面进行管理，检查安全策略和审计日志等。

b)预期结果：

1)重新通过管理界面对系统策略配置等进行查看时，需要重新鉴别；

2)安全策略恢复到关机前的状态；

3)关机前的安全策略和审计日志不会丢失。

8安全分级

根据GB17859-1999的安全保护等级划分的思想，本标准将人脸比对系统的功能要求（见表7），安

全要求（见表8）分为基本级和增强级。功能、安全要求高低是等级划分的具体依据。

表7系统功能要求

功能要求基本级增强级

对抗样本检测5.15.1

对抗样本去噪5.25.2

11

T/CESAXXXX-2020

对抗训练——5.3

表8系统安全要求

安全功能要求基本级增强级

审计日志产生6.1.1.16.1.1.1

安全审计审计日志查阅6.1.1.26.1.1.2

审计日志保护6.1.1.36.1.1.3

异常处理机制6.1.26.1.2

12

T/CESAXXXX-2020

目  次

前  言.................................................................................................................................................................3

1范围.....................................................................................................................................................................4

2规范性引用文件.................................................................................................................................................4

3术语和定义.........................................................................................................................................................4

4系统概述.............................................................................................................................................................6

5功能要求.............................................................................................................................................................6

6安全要求.............................................................................................................................................................7

7测试方法.............................................................................................................................................................8

8安全分级...........................................................................................................................................................11

2

T/CESAXXXX-2020

信息安全技术人脸比对模型安全技术规范

1范围

本文件规定了人脸比对模型及所在系统的功能要求、安全要求与相应的测试方法，并将系统划分为

基本级和增强级。

本文件适用于交通、酒店、学校、工厂等应用场景的人脸比对模型及所在系统的设计、开发与测试，

其他需要人脸比对技术的应用场景可参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB17859-1999计算机信息系统安全保护划分准则

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T26238-2010信息技术生物特征识别术语

GB/T29268.1-2012信息技术生物特征识别性能测试和报告原则与框架

（ISO/IEC19795-1:2006,IDT）

GB/T38671-2020信息安全技术远程人脸识别系统技术要求

T/CESA1026-2018人工智能深度学习算法评估规范

3术语和定义

GB/T26238-2010、T/CESA1026-2018界定的及下列术语和定义适用于本标准。

3.1

人脸比对faceverification

对两张人脸图像进行识别比对，评估属于同一个人的可能性大小。

3.2

对抗样本adversarialexamples

在数据集中通过故意添加细微的干扰所形成输入样本，添加对抗噪声之后的输入样本导致模型给出

错误的输出。

3.3

白盒攻击white-boxattack

4

T/CESAXXXX-2020

指在目标模型结构及参数等信息已知的情况下，生成对抗样本进行攻击。

3.4

黑盒攻击black-boxattack

指在目标模型结构及参数等信息未知的情况下，生成对抗样本进行攻击。

3.5

扰动大小perturbationbudget

指构造对抗样本时添加的干扰大小。

注：扰动大小根据干扰类型的不同，计算方式分别为：

a)物理世界：根据实体干扰的面积大小进行计算；

b)数字世界：根据生成的对抗样本与真实样本之间的距离进行计算。在L+∞距离下的计算方法见式（1），在L2

距离下的计算方法见式（2）。

................................................(1)

ഄ㈳

駐ഄ鰐ҥഄᵇ鰐왐ᶣ瞸ᵇҥഄ鰐駐鰐max .............................................(2)

式中：ഄ㈳

駐ഄ鰐ҥഄᵇ鰐왐ᶣ瞸ᵇҥഄ鰐駐鰐ഄ......

真实样本，图像中每像素的取值范围为到之间的整数；

对抗样本，图像中每像素的取值范围为到之间的整数；

——055

ഄ㈳和的维度；

——055

对向量ഄ㈳逐项求绝对值；

ഄ——

对向量求范数。

——

3.6——L

准确率accuracy

对于给定的数据集，正确分类的样本数占总样本数的比率。

3.7

查全率recall

对于给定的数据集，预测为对抗样本的样本占所有实际为对抗样本的比率。

3.8

防御成功率defensesuccessrate

对抗样本的识别准确率与真实样本的识别准确率之比。

注：防御成功率见式（3）。

防御成功率对抗样本真实样本...........................................(3)

式中：

ACCACC

对抗样本输入对抗样本时模型的识别准确率；

真实样本输入真实样本时模型的识别准确率。

ACC——

ACC——

5

T/CESAXXXX-2020

4系统概述

参照GB/T38671-2020，具备防御对抗样本攻击能力的人脸比对系统应包含以下两层：

a)模型训练层：主要由用于对抗训练的对抗样本生成算法、预训练模型或比对模型自身等模块组

成；对抗样本生成算法针对预训练模型或人脸比对模型自身生成对抗样本后，将生成的对抗样

本加入训练集进行对抗训练即可提升人脸比对模型的鲁棒性。

b)应用层：由对抗样本检测、对抗样本去噪、人脸比对服务等模块组成；对抗样本检测模块将对

输入数据进行分析处理，判断数据是否为对抗样本；对抗样本去噪则负责对输入数据进行去噪

处理，破坏攻击者恶意添加的对抗噪声。

本标准不规定具备防御对抗样本攻击能力的人脸比对系统具体实现方式。

系统结构图见图1：

图1人脸比对系统结构图

5功能要求

5.1对抗样本检测

应支持依据真实样本和对抗样本的差异性，判断输入数据中是否包含对抗样本。系统应拒绝已检出

的对抗样本进入人脸比对流程。检测方法包括但不限于：

a)应支持对输入数据的直接分析进行对抗样本检测：通过分析真实样本和对抗样本在非任务模型

（如专门训练的对抗样本分类模型上）的不同表现，判断输入数据是否为对抗样本；

b)应支持对人脸比对模型特征层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸

比对模型特征层上统计值的分布差异，判断输入数据是否为对抗样本；

6

T/CESAXXXX-2020

c)应支持对人脸比对模型输出层的分析进行对抗样本检测：通过分析真实样本和对抗样本在人脸

比对模型输出层上的分布特性差异，判断输入数据是否为对抗样本。

5.2对抗样本去噪

应支持对输入数据进行去噪处理，破坏恶意用户添加在真实样本上的对抗噪声。去噪处理方法包括

但不限于：

a)应支持通过图片压缩的方法对输入数据做去噪处理：高频信号可激发神经网络某些特定的神经

元，使得神经网络给出错误的输出结果，图片压缩可改变高频信号的分布，从而破坏对抗噪声；

b)应支持通过使图片总方差最小化的方法对输入数据做去噪处理：在保证图片语义信息损失较小

的约束条件下，使得图片总方差最小化，改变噪声的分布，从而破坏对抗噪声；

c)应支持通过数据驱动的方式训练对抗样本去噪器对输入数据做去噪处理：神经网络训练的对抗

样本去噪器通过最小化对抗样本与真实样本的距离（如像素级别的L1距离，特征层的L2距离

等）使得处理后的对